Linux-PAM系统管理指南

Linux-PAM模块支持，主要因为美国加密算法的出口限制。

expost_account
通常，对于模块来说泄露用户的某些信息并非一个安全的策略。有时候用户名、起始目录或者用户使用的shell等信息都可以被攻击者用来攻击一个用户帐户。这个参数是一个适用于每个模块的标准参数，它可以使模块尽量少地泄露用户信息。

4.4 配置文件入口示例

　　在这一节，我们将给出一些例子，以便于理解。

4.4.1 默认策略

　　一个合理的OTHER入口对于加强系统安全非常重要。下面是一个非常偏执的例子。

　　# 默认; 拒绝访问
　　#
　　OTHER auth required /usr/lib/security/pam_deny.so
　　OTHER account required /usr/lib/security/pam_deny.so
　　OTHER password required /usr/lib/security/pam_deny.so
　　OTHER session required /usr/lib/security/pam_deny.so

　　毫无疑问，这是最安全的OTHER策略了，但是不太合理。例如：如果这个文件的其它部分编写不好，那么很容易把所有的用户挡在门外。

　　pam_deny模块在运行时不记录任何信息，除非用户在无法执行某个服务程序时能够与系统管理人员联系，否则系统管理者很长时间不会知道系统配置错误。

　　在上面例子的前面加入以下几行，系统管理者就可以获得有关的警告信息了：

　　# 如果程序配置错误
　　#
　　OTHER auth required /usr/lib/security/pam_warn.so
　　OTHER password required /usr/lib/security/pam_warn.so

　　这样有两行是auth模块类型，形成模块层叠。

　　在一个使用/etc/pam.d/配置的系统中，默认配置文件如下：

　　# default configuration: /etc/pam.d/other
　　#
　　auth required /usr/lib/security/pam_warn.so
　　auth required /usr/lib/security/pam_deny.so
　　account required /usr/lib/security/pam_deny.so
　　password required /usr/lib/security/pam_warn.so
　　password required /usr/lib/security/pam_deny.so
　　session required /usr/lib/security/pam_deny.so

　　对于不熟悉Linux-PAM的系统管理者，下列几行可以作为最基本的系统配置：

　　# default; standard UNIX access
　　#
　　OTHER auth required /usr/lib/security/pam_unix_auth.so
　　OTHER account required /usr/lib/security/pam_unix_acct.so
　　OTHER password required /usr/lib/security/pam_unix_passwd.so
　　OTHER session required /usr/lib/security/pam_unix_session.so

　　通常这足以为大多数应用程序提供验证服务了。但是，大多数并不表示全部。如果你需要打开FTP匿名登录功能，就无法满足要求了。

　　为了打开匿名FTP，需要使用以下的配置命令代替默认的配置(OTHER)：

　　# ftpd; add ftp-specifics. These lines enable anonymous ftp over
　　# standard UNIX access (the listfile entry blocks access to
　　# users listed in /etc/ftpusers)
　　#
　　ftpd auth sufficient /usr/lib/security/pam_ftp.so
　　ftpd auth required /usr/lib/security/pam_unix_auth.so use_first_pass
　　ftpd auth required /usr/lib/security/pam_listfile.so
　　onerr=succeed item=user sense=deny file=/etc/ftpusers

　　由于需要忽略默认的配置入口，所以第二行是必须要有的。这还是一个层叠模块的例子。使用sufficient控制标志，表示如果这个模块验证通过，就不必使用后面的层叠模块进行验证了；use_first_pass表示使用为前面的模块(pam_ftp)输入的密码。

5.Linux-PAM的安全问题

　　这一章我们将讨论如何安全使用Linux-PAM。

5.1 如果出现错误

　　如果发生错误，Linux-PAM可能会改变系统的安全性。这取决于你自己的选择，你可以选择不安全(开放系统)和绝对安全(拒绝任何访问)。通常，Linux-PAM在发生错误时，倾向于后者。任何的配置错误都可能导致系统整个或者部分无法访问。

　　能够遇到最大的问题可能就是Linux-PAM的配置文件(/etc/pam.d/*或者/etc/pam.conf)被删除了。如果发生这种事情，你的系统就会被锁住。

　　不过，还是有办法进行恢复的。最好的方法就是重新启动系统进入单用户模式，然后进行正确地设置。下面是David Wood在邮件中提出的解决步骤：

首先，以单用户模式启动系统，出现LILO boot:时输入： LILO boot:linux single >——此处假设使用的内核标签是Linux，可以按TAB键列出可用的内核

这样你不用登录就可以进入系统了。

如果这个办法不行，你还可以使用急救盘启动系统。

假设你的PAM系统只是配置文件被破坏，先按照如下步骤进行处理： cd /etc
mv pam.conf pam.conf.orig
mv pam.d pam.d.orig
mkdir pam.d
cd pam.d

接着，使用编辑程序编辑/etc/pam.d/other文件，它应该包括以下四行：

auth required pam_unix_auth.so
account required pam_unix_acct.so
password required pam_unix_passwd.so
session required pam_unix_session.so

然后，你就可以登录了。如果还是不行，那有可能是因为输入错误或者更严重的问题。如果是输入错误，会在日志文件中留下记录，可以使用tail /var/log/messages查看。

现在，你已经重新登录到系统了。下面的工作就是重新安装Linux-PAM和其它软件(假设是RedHat系统),使用如下命令重新安装PAM软件包： rpm -Uvh --force pam-*

　　然后，需要安装(重新安装)libc库、util-Linux、wuftp、NetKit等受影响的软件包。如果使用X系统，也需要重新安装。

5.2 不要使用脆弱的other文件

　　如果系统默认配置文件other的配置比较脆弱，系统很可能受到攻击的威胁。

　　这是一个示例配置，pam_deny模块将拒绝所有的访问，而pam_warn模块将向auth.notice日志设备发送一条警告信息：

　　# The PAM configuration file for the `other' service
　　#
　　auth required pam_deny.so
　　auth required pam_warn.so
　　account required pam_deny.so
　　account required pam_warn.so
　　password required pam_deny.so
　　password required pam_warn.so
　　session required pam_deny.so
　　session required pam_warn.so

6.模块使用参考

　　这一章我们将一块介绍Linux-PAM模块的用法

6.1 access模块

6.1.1 概要

模块名
pam_access

作者
Alexei Nogin

维护者
作者

提供的管理组功能
account

系统依赖性
需要一个配置文件。默认情况下，使用/etc/security/access.conf作为配置文件，也可以指定别的文件。

网络支持
通过PAM_TTY变量获得终端名，如果这个变量没有设置，就通过ttyname()函数获得标准输入文件描述符的终端名。还可以使用gethostname(),yp_get_default_domain(), gethostbyname()函数获得主机名、域名等信息，作为每个配置行的第三项。

6.1.2 综述

　　提供一种日志监控风格的登录访问控制机制

6.1.3 account组件

能够识别的参数
accessfile=/path/to/file.conf

描述
这个模块提供一种日志监控风格的登录访问控制机制，这种机制是基于登录名、主机名、域名、internet地址、网络地址或者终端名的。A. Nogin把logdaemon-5.6(作者：Wietse Venema's)中的login_access.c文件做了许多改动，用到了这个模块中。

这个模块的行为可以使用如下参数进行修正：

accessfile=/path/to/file.conf 使用别的配置文件代替默认的配置文件/etc/security/access.conf。

示例和建议
例如：在一个NIS服务器或者一个邮件服务器上，有很多用户，但是你不想让这些用户具有登录(login)能力。这时，建议你使用这个模块。

如果你的模块放在/lib/security目录，而且使用/etc/pam.d/风格的配置，可以在/etc/pam.d/login、/etc/pam.d/rlogin、/etc/pam.d/rsh和/etc/pam.d/ftp文件中加入下面一行，来启动这个模块：

account required /lib/security/pam_access.so

注意：除非你的系统可以忽略.rhosts文件的作用，否则这个模块无法发挥作用。其中细节请参考对pam_rhost_auth模块的介绍。

此外，在软件的发布中有一个示例access.conf配置文件。

6.2 chroot模块

6.2.1 概要

模块名
pam_chrooot

作者
Bruce Campbell

维护者
作者

提供的管理组功能
account、session、authentication

网络支持
本地主机

6.2.2 综述

　　这个模块为普通用户提供一个假的文件系统，例如：在他们看来的/目录实际上是/some/where/else。

　　如果系统中有几类用户，而你对安全问题又十分重视，就可以使用这个模块。它可以对用户能够看到的系统信息和能够运行的程序进行限制。

6.2.3 account组件

　　原著尚未完成

6.2.4 session组件

　　同上

能够识别的参数
可以使用PAM的通用参数和日志级别作为其参数。

示例和建议
提供合理的程序，例如只提供cat、ls、rm、cp和ed等。

不要滥用这个模块，例如：你可以为每个用户安装一个隔离的环境，但是这样非常浪费磁盘空间。

6.3 密码强度检查模块

6.3.1 概要

模块名
pam_cracklib

作者
Cristian Gafton

维护者
作者

提供的管理组功能
password

系统依赖性
需要libcrack库和字典/usr/lib/cracklib.dict。

6.3.2 综述

　　这个模块可以插入到实现password管理组功能的层叠模块中，为给定的程序提供密码强度检查。

　　这个模块以如下方式工作：首先调用cracklib例程检查密码强度，如果密码不易破译，就进行下面的强度检查：

新密码是否旧密码的回文。
新密码是否只是就密码改变了大小写
和旧密码是否相似。主要由difok参数控制，如果新旧密码之间不同的字符数目大于或等于这个参数就接受新的密码，这个参数的默认值是10或者新密码的1/2。为了避免对一个很长、很复杂的密码进行查询，还可以使用difignore参数。这个参数可以指定一个值，如果新的密码长度超过这个值，就不必进行这种检查，默认值是23。
是否新密码太短。由5个参数控制：minlen、dcredit、ucredit、lcredit和ocredit。在此就不一一介绍了。
新密码是否是旧密码的回环
这个密码以前是否用过。过去用过的密码可以在/etc/security/opasswd文件中找到。
　　对于标准的UNIX密码加密算法，即使没有参数，这个模块也会工作得很好。但是，对于MD5加密算法，密码可以超过8个字符，使用默认的设置将使用户很难找到满意的密码。MD5算法的默认设置要求新密码中和旧密码相同的字符不能超过1/2，而且是强制的。例如：旧的密码是"the quick brown fox jumped over the lazy dog"，那这个密码是很难被替换的:)。除此之外，MD5算法的默认设置还允许密码长度小于5个字符。因此，对于MD5系统需要对配置做一些调整，提高字符数的底限，减小对不同字符的比例限制。

6.3.3 password组件

能够识别的参数
debug、type=XXX、retry=N、difok=N、minlen=N、dcredit=N、ucredit=N、lcredit=N、ocredit=N、use_authtok

描述
这个模块提示用户输入一个密码，然后根据一个系统字典和一组规则检查它的强度。

默认情况下，它首先提示用户输入一个密码，如果认为强度足够，就提示用户重新输入一遍，以保证密码输入正确。完成这些动作后，就把这个密码产地给subsequent模块，由subsequent模块安装新的验证记号(也就是密码)。

这个模块的动作可以通过一些参数改变：

debug
把模块详细的行为信息写到syslog，但不包括密码信息。

type=xxx
修改提示信息。默认的提示信息是："New UNIX password:"和"Retype UNIX password"。设置这个选项可以使xxx代替UNIX。

retry=N
改变输入密码的次数，默认值是1。就是说，如果用户输入的密码强度不够就退出。可以使用这个选项设置输入的次数，以免一切都从头再来。

difok=N
默认值为10。这个参数设置允许的新、旧密码相同字符的个数。不过，如果新密码中1/2的字符和旧密码不同，则新密码被接受。

minlen=N
密码字符个数下限加一。除了限制新密码字符的个数之外，还有一些参数可以限制每种字符(other、upper、lower和digit)的个数。minlen的默认值是9，这个值对于旧风格的UNIX密码是非常合适的，但是对于MD5系统却并不是很安全。

ucredit=N
限制新密码中最多有多少个大写字符。

lcredit=N
限制新密码中最多有多少个小写字符。

ocredit=N
限制新密码中最多有多少个其它的字符。

use_authok
不让模块执行提示用户输入密码的动作，使用前面层叠的password模块提供的密码。

示例和建议
下面我们举一个例子，看一下这个模块是如何与pam_pwdb的password组件实现层叠的：

# These lines stack two password type modules. In this example the
# user is given 3 opportunities to enter a strong password. The
# "use_authtok" argument ensures that the pam_pwdb module does not
# prompt for a password, but instead uses the one provided by
# pam_cracklib.
#
passwd password required pam_cracklib.so retry=3
passwd password required pam_pwdb.so use_authtok

下面是一个使用MD5加密算法的例子：

#
# These lines allow a md5 systems to support passwords of at lea